角色和责任,在资质和资质认定钙
老涉及许多不同的人在一起配合工作,对不同的任务。 有乡亲人的发展的c和收购计划,为广大乡亲,他们准备认证方案外,乡亲的人追究责任,为验证软件包,该机构的审计,评估认证软件包认证之前,以及联邦调查员审计机构,以确保他们正在做老正确的做法。 首席信息官该机构的首席信息官( cio ) ,是最显着的人追究责任,为一个成功的信息安全计划与海关程序。 这是cio的责任,以确保信息安全计划,其中包括海关程序,存在并正在实施。 不过,大多数机构首席信息官不发挥实际操作上的作用,在发展这些项目。 通常是首席信息官将指定的发展,这些节目对高级机构间信息安全官。 然而,下放项目的发展,并不等于说,首席信息官,并不需要了解的过程。 如果首席信息官不明白的所有元素的一个成功的海关程序有没有什么机会说,首席信息官将可持有高级机构间信息安全官,负责制定一个完整的计划。 在没有了解详情的一个什么样的程序应包括,首席信息官,将不知道如果高级机构间信息安全官留下任何东西。 一块老有一点不容忽视的是,必须为首席信息官制定的预算为三答 老是非常密集的时候,一个典型的老平均需时6个月,做了大量彻底的工作,充满了所有所需information.the cio的作品连同授权官员,以确保有足够的预算,以工作人员必要的资源放在一起的认证项目。 如果首席信息官不预算的c & a , c的收购可能不会获得done.the首席信息官,使老需充分认识联邦预算过程记录在出版一出由白宫称为通告第- 11日第7部分的规划,预算,采购,管理和资本的资产。这本刊物,是目前可在www.whitehouse.gov/omb/circulars/a11/2002/part7.pdf 。 - 11日第7部分参考其他预算准则中强调指出,首席信息官,也应当成为熟悉的,其中包括一个称为omb展品300 。 omb展出300是目前可在www.cio.gov/archive/s300_05_ draft_0430.pdf 。 这是最终的首席信息官表示,很可能会被追究责任并交代如果该机构收到的一个贫穷的等级对每年联邦计算机安全报告卡。 职责之一是cio是关心年度联邦计算机安全报告卡的等级。 如果一个机构得到一个失败的级别,则显然是有错误的,无论是与海关程序本身,或如何将计划落实。 如果一个机构获得最高评分上年度联邦计算机安全报告卡,然后就老当然,这一进程仍在正确的做法。 作为联邦计算机安全报告卡,让越来越多的公众注意,每年一个贫穷落后于报告卡可以是一个职业生涯的极限的体验,任何机构的首席信息官。 官方授权授权官员是一个通称,为高层管理人员在一个机构谁授权业务的一个信息系统,声称相关风险,它是可以接受的。 所以是不会有任何人将举行题为"授权官员" ,因此,我不精彩,它在这里与资本letters.there可能是多重授权官员的每一个机构,都自行负责其指定地区。 在许多机构,授权官方称为指定评审机构(的daa ) 。 授权官方通常有预算职责,为确保一定数量的资源预留监督三是一个过程。 通常该机构的首席信息官报告,以正式授权。 然而,在大型机构中,有些局首席信息官报告,以该机构的首席信息官,可以如此说,首席信息官,是官方授权。 在另一些情况下,授权官员可以专员或助理处长。 如果授权官员和首席信息官是两个不同的人,他们必须携手合作,以确保有足够的预算已拨出三答 授权官员,要按照国家标准,还专门出版了800-37 ( 2004年5月) ,被一名雇员的美国政府和不能算是一个承包商或顾问。 然而,授权官员可指派一名代表进行了有关的各种工作,三,及指定代理人可以是承包商或顾问。 不过,我想最后的安全认证决定及其陪同评审决定,信必须是国有,并签署了由美国政府雇员,这是官方授权。 高级机构间信息安全官高级机构间信息安全官( saiso ) ,是人,即首席信息官持负责任的,以监督各该机构的信息安全initiatives.the saiso俨如一名首席信息安全官在私人产业。 这是有可能的首席信息官可以担当起这一角色本身,在这种情况下,就不会有一个单独的个人持有这些责任。 该saiso工程与该机构授权的官员,以确保他们在协议上的安全要求的信息系统,以及作为主要文件所载的认证包,如风险评估和安全计划。 在携手合作, saiso以及授权官员应确保考虑到任务和业务需求的机构。 该saiso提供管理监督,以验证代理人,并与他或她,以确保该三一个过程,是经过深思熟虑,并包括所有必要的文件和引导saiso任命认证代理商,并持有他们为履行其职务。 这是非常重要的saiso选择自己的认证代理( )小心,因为他们将需要依靠自己的评审建议。 该saiso不妨检讨所有的认证包处理该机构;然而,作为一个实际问题,这是今后几乎不可能做这件事。 在大多数机构,有太多的认证包,为个人,以审查和确认。 由于这个原因, saiso雇用了认证代理(或代理人)改为套餐,演出的评价,写建议,并出示一份文件,呼吁安全评估报告。安全评估报告基本上是一个简要的评价,并应当说明理由,并支持这项建议是否还是不认可package.the 安全评估报告应全部资料,认为saiso需要自圆其说签字认可函,并将增建议调高至授权官员提供cial至于他们是否应该签署评审函。 高级机构的隐私保护官每个机构,是假定有一个高级机构的隐私保护官。 一个大型机构的一位资深机构的隐私保护官员可能是一个全职的工作。 然而,对于一个小机构,它的可能是这些责任的高层官员也可能由首席信息官,首席信息官的工作人员,或saiso.the人在这方面的作用,可容纳的标题首席隐私官员,他或她并不一定要称作高级机构的隐私保护官。 什么是最重要的是,有人是指定履行职责,维护机密及私人信息。 认证代理/评估小组认证代理审查认证软件包,提出建议,以决定是否需要一个积极的认可与否。 本质上,认证代理商作为auditor.they梳透过灵巧认证软件包寻找失踪的资料和信息,不作sense.their目标,是要确定,如果政改方案是在遵守该机构的记载海关手册,过程中,安全政策,与信息系统的安全要求。 在一些机构,有这么多的软件包,以评估该验证代理人组成的一个评估team.the团队可以有一个部门的名称,例如任务的保证,信息保证,或compliance.the组织的名称是最不相干的一部分作为它可以从不同的各机构。 经检讨老包,验证代理人或评估小组提出建议,以内部评审当局-s aiso和授权官方有没有一套应该认可,或不是。 在大多数情况下, saiso和授权正式接纳建议的认证代理,并标志认证信完全基于推荐的认证代理。 随着这一建议,认证代理人还生产并包括安全评估报告。安全评价报告应当说明理由,这项建议。 当认证剂是一个团队的人,他们通常是分裂的不同任务需要完成,以加快这一进程。 举例来说,一个人可能会评估软件包,为广大支持系统,另一人可能是评价包装为主要应用,另一人可能创造和更新模板,另一人可能更新手册。 认证代理还负责制订内部三是一个过程,和所有文件,说明这个过程中-手册和templates.the文件验证剂的发展为评价包项目清单及评分卡。 该项目清单及评分卡应该是一致的,与模板和handbook.the清单,协助认证代理写出安全评估报告。 它可能是认证代理商和高级机构间信息安全官可能是同一人,因为一些小机构未必有内部资源,有两种不同的工作人员分配到这些角色。 如果验证代理和saiso之一,在同一人,那么认证剂,使评审推荐,以授权official.the认证代理商不作最后决定是否居&一揽子应得到认可-他或她,使建议只对修改还是不包应该得到认可。 为了证明客观性,这是经常遇到的情况是评估小组构成的外部顾问。 fisma , § 3454年国家:每年每个机构应完成了一项独立的评估信息安全计划和做法,即机构,以确定这种机制的有效性程序和惯例。 如果一个机构决定利用自己的工作人员,应该肯定的是,有一个明确的分工评价者和组织表示感谢,介绍老软件包进行评估。 企业老板该企业老板是一个通用的参考信息系统的拥有人,并且很可能是没有雇员的机构授予的"信息系统的主人, "这就是为什么我不善用术语在这里。 信息系统的主人可能是一个项目经理,应用管理,资讯科技署署长,或工程总监例子。 总之,这是人,负责开发和运营的信息系统。 信息系统的主人是一位典型取得了球滚动一个新的c &一个项目。 信息系统的业主需要,以确保他们的信息系统,是充分认可,然后投入到生产中。 一旦一个信息系统是在生产,它需要得到recertified和经认可的每3年一次。 它是信息系统的拥有人的责任,任命某人成为信息系统安全主任制度,要求三答 系统所有者该系统拥有人,是负责管理系统的c & a申请运行。 系统的拥有者可以得到一个孤独的系统管理员,或一个系统部。 在一个大的分布式应用,有可能会有不同的系统,是一块的应用基础结构有不同的制度,业主。 当一个大型分布式应用有不同的制度,业主,有时不同的制度,业主可以不同地域或不同的建筑物。 所有老套餐,无论是包装的一个重要应用,或一般支援服务,基础设施,程序运行时,应指明谁是系统所有者is.the系统业主们提供系统support.the系统车主应在资产清查 。联络资料,以供系统的车主应在应急计划和营商环境影响评估 。 信息主人资料拥有人,是人谁拥有数据的信息所有者是关心数据的完整性,沟通与系统所有者的问题,涉及到安全控制的系统或数据库的数据寓于on.the人,或部门,即拥有该数据并非总是一样的,因为该系统所有者,虽然它可以做到。 在许多情况下,该系统所有者能够保持数据信息owner.the信息业主往往有人世卫组织报告,向企业主,并可能是一个数据库管理员或应用程序管理器。 这是有可能的,在某些组织的资料,业主和企业老板是同一人。 这是有可能的,该数据对系统预定老属于不同的司法管辖区,比该系统的主人。 它也有可能是信息的拥有者和系统的主人是一个在同一人。 有时数据库,可管理和管理的,有人说,有专家证书在封锁区内。 如果系统所有者和资料拥有人是不是在同一个人来说,这应该指出,在认证包,在资产清查 。 信息系统安全人员信息系统安全官(火) ,是负责管理安全的信息系统,将在三甲山头保险说,在信息系统的配置,是在遵守该机构的信息安全政策。 所有认证一揽子文件编写,由火,或为种田,由工作人员或承包商。 典型的命令有一个大板块的职责,他们可能会需要增加员工与承建商编写一份认证包从速。 它并不鲜见,其中isso将负责筹备半年的十几老软件包。 由于一架c &一套可轻易采取一年一个熟悉安全专家编写,它被认为是标准,并接受issos聘请顾问公司,从境外机构在编写认证方案。 它也提高了客观的认证方案,有它编写的第三党,个人没有参加该机构的工作人员。 一旦认证包装是否完整, isso介绍给了一个评估小组,谁收益,以验证findings.the评价组是一个扩展的认证代理。 如果证明其代理人不指定或集会,是一个评估小组,证明其代理人应准备评估认证方案和提出建议,对是否发行了积极认可。 老编制人员该老编制人员,有时被称为老审查小组,准备验证包提交给评估小组。 在许多情况下,老编制人员之外consultants.the老编制人员也可以是一个混合队的外部顾问和内部机构的工作人员。 在c和收购准备工作,为信息系统的所有者,但通常的领导下,信息系统的安全人员。 当谈到汇集认证软件包,它是老编制人员,进行了大部分的work.the老编制人员需要有一个专家的背景,在信息安全与广度的理解不同的层面进行安全架构,信息保密性,信息完整性,信息的可用性,安全性政策,并范本法规。 原子能机构核查人员为准备访问,从高,所有机构,及一些局,有自己的检查人员来到现场,以机构的办事处,以定期评估,如果适当fisma遵正在发生的。 在大多数情况下,该机构核查人员不须太大先进通知和他们的访问可以采取地方warning.the机构内部督察来自该机构办公室的监察长( oig ) 。 许多机构oig办事处,有自己的网站,你就可以阅读更多关于不同责任的oig 。 美国联邦通讯委员会www.fcc.gov/oig/ 商务部,农业部www.usda.gov/oig/ 进行了卫生和人类服务部http://oig.hhs.gov/ 社会保障行政www.ssa.gov/oig/ 美国邮政服务www.uspsoig.gov/ 目标原子能机构oig是捕捉任何问题,并加以解决,使他们无须出作为缺陷对高reports.the oig办事处,有自己的调查和审查程序和不同oig办事处可履行其审计的方式不同。 oig办事处,是更加提高警觉,在他们的审计和审查的过程中更可能防止该机构被列为缺陷高督学。 高督察监督审计,从高访联邦机构于每年的基础上,并审查认可的认证包,以确保他们有被认可properly.the高还审查了该机构的c &一个过程,以确定是否是可以接受的。 如果高发现认证和包装不适当认可的,或如果该机构的c &一个过程,也是有缺陷的任何方式,机构的官员,将文件中的调查结果与该机构将获得穷人年级对年度联邦计算机安全报告卡。 联邦计算机安全报告卡,是出版,每年由美国委员会对政府改革。 各级审计同时考虑到评价小组, oig督察,及高督察,你看现在这个范本的过程中经历了严峻的各级审计(见图3.1 ) 。 通常有不少于三个层次的审计。 有些机构甚至可能有额外级别的审计。 经过评估小组审查认证包,有可能会有另一种内部遵守组织可以审查认证一揽子再次看到,如果评价小组做他们的工作,正确的。 原评估小组和一个附属监察小组,可实际上并没有同意,就是否验证方案应得到认可,而且常常是两个内部审计机构将有多次讨论,在它们之间达成一项协议,最后评审推荐。 有这么多层次的审计,才能其实就像是矫枉过正;然而,这些机构似乎沉迷于这些审计重复,职责分离,常常票价最好对联邦计算机安全报告卡。 fisma各级审计审查认证软件包 高督察 这是一篇文章说,由hemant baidwan
|
|||
|